NEWS

La regolazione dei dati nella società digitale europea e il ruolo crescente dei Data Protection Officer

Nel corso degli ultimi anni, e soprattutto durante la Presidenza von der Leyen, la elaborazione e approvazione di nuovi regolamenti europei finalizzati a regolare i trattamenti e la trasmissione di dati nella società digitale ha prodotto un numero davvero molto significativo di nuovi regolamenti europei in materia di dati, tra i quali spiccano il Data Governance Act (DGA), il Digital Services Act (DSA), il Digital Markets Act (DMA) e ora anche lo Artificial Intelligence Act (AI Act).

(Nella foto: Francesco Pizzetti, Presidente emerito del Garante per la protezione dei dati personali)

Per comprendere quanto sta accadendo bisogna andare oltre la tradizionale visione della regolazione dei dati nell’epoca digitale come un fenomeno legato alla tutela del diritto fondamentale alla protezione dei dati personali visto, alla maniera di Stefano Rodotà, come un nuovo diritto di libertà basato sulla tutela della riservatezza e della vita familiare.

In realtà il diritto alla protezione dei dati personali, consolidato nel GDPR fin dal 2016 ma già affermato dalla Direttiva 95/46 CE, resta un pilastro fondamentale della disciplina dei dati nella società digitale, tanto che tutti i nuovi Regolamenti si preoccupano di affermare sempre che le norme in essi contenute devono essere lette e applicate in armonia col GDPR.

Quello che è cambiato però è che la Unione Europea non ha più il fuoco della sua regolazione digitale basato sulla tutela del diritto alla riservatezza e alla protezione dei dati personali ma, con una visione ben più ampia, ha ora al centro della sua attività regolatoria la disciplina della società digitale allo scopo di costruire e garantire la piena tenuta e la capacità di sviluppo nel tempo del mercato unico digitale europeo.

Questo punto va chiarito bene perché è il perno del nuovo ruolo che la disciplina digitale dei dati ha oggi nella società europea.

Proprio perché l’evoluzione della società digitale, strettamente connessa con lo sviluppo della globalizzazione, ha intrecciato in modo sempre più stretto l’utilizzazione dei servizi digitali con la messa a disposizione di questi servizi per gli operatori economici a livello globale, è diventato nel tempo sempre più evidente che, come mise bene in rilievo la Presidente von der Leyen nel suo intervento programmatico del 2019 intitolato “A Union that strives for more. My agenda for Europe”, se l’Unione Europea vuole preservare i suoi tratti fondanti legati alla costruzione del Mercato Unico europeo anche nella società digitale allora è necessario un imponente sforzo regolatorio europeo che garantisca regole comuni a tutto il Mercato Europeo relativamente alla fornitura e all’uso di servizi e trattamenti digitali dei dati.

Dunque, con l’esplosione della società digitale, che la pandemia da Covid-19 ha accelerato, è diventato sempre più evidente che la regolazione della società digitale e la costruzione del mercato unico digitale implica una regolazione uniforme e un robusto e sicuro sistema di trasmissione dei dati, personali e non, in tutto lo spazio unico europeo.

Pertanto, la costruzione dello spazio unico digitale europeo è certamente anche uno sforzo enorme per aumentare la capacità dell’Unione di costruire servizi di trattamento dei dati e delle relazioni digitali nel quadro della UE, diminuendo man mano il peso dei fornitori di servizi con sede in USA o in Cina, ma è anche, e prima di tutto, la costruzione, anche nella società digitale, dello spazio unico europeo: aspetto, questo, fondamentale perché, come ha ricordato più volte la Presidente von der Leyen, la UE si fonda e si basa, fin dalla sua origine, sullo spazio unico economico europeo. Dunque nella società digitale la UE o è uno spazio economico digitale unico o non è.

Tutto questo spiega la produzione di un numero impressionante di nuovi regolamenti, finalizzato non tanto e non solo a estendere il c.d. Bruxelles effect anche fuori dalla UE, come è accaduto col GDPR, quanto a costruire appunto lo spazio unico digitale europeo o, se si preferisce, a mantenere solido e uniformemente disciplinato lo spazio economico europeo anche nella società digitale.

Ovviamente una ambizione così alta comporta la estensione della necessità di una regolazione uniforme non solo ai trattamenti che riguardano diritti individuali delle persone o degli operatori ma anche, e soprattutto, alle regole che riguardano la fornitura di servizi e, dunque, lo sfruttamento al livello più ampio possibile, delle opportunità che la economia digitale offre alle imprese e i cittadini.

Questo spiega perché allo sforzo di estendere la regolazione alla disciplina della fornitura dei servizi si debba accompagnare uno sforzo non meno imponente di costruzione di nuove infrastrutture europee che assicurino la piena interoperabilità fra i diversi sistemi statali e anche forme elevate di standard di sicurezza comuni relativamente alla protezione delle reti di comunicazioni e dei dati che circolano su di esse.

Non solo: il passaggio della regolazione dalla prospettiva della tutela dei diritti a quella della tutela effettiva e primaria dei servizi comporta anche la esigenza di superare la concezione, strettamente di diritto privato internazionale, secondo la quale le regole da applicare alla fornitura dei servizi digitali sono quelle dello Stato nel quale il fornitore ha sede per passare invece una visone di tipo più nettamente pubblicistico, secondo la quale le regole da applicare anche alla fornitura di servizi digitali anche basati su contratti sono quelle dello Stato in cui ha sede l’utilizzatore del servizio e nel quale il servizio fornito è utilizzato.

Proprio questo è un aspetto importantissimo della nuova ondata di regolamenti europei relativi i trattamenti dei dati: tutti i nuovi regolamenti, infatti, si basano sul principio che le regole da applicare alla fornitura del servizio non sono quelle dello Stato in cui ha sede il fornitore ma quelle dello Stato in cui ha sede l’utente.

Con questo rovesciamento di prospettiva, ottenuta operando sul piano direttamente giuridico, la UE ha trovato la via più solida per vincere, almeno relativamente al mercato UE, la sfida con le OTT americane e per consolidare in modo ancor più robusto lo spazio unico digitale europeo.

La UE, infatti, conta ora sulla forza stessa del Mercato Unico Europeo per garantire lo sviluppo dello spazio unico digitale europeo

Fino a che i fornitori di servizi digitali non potranno rinunciare al mercato della UE, la UE sarà certa che le proprie regole saranno rispettate da tutti gli operatori, ovunque residenti, con il conseguente e crescente rafforzamento del Mercato Unico Europeo.

Le recentissime elezioni europee non offrono motivo alcuno per pensare che questa tendenza possa invertirsi. Anzi, proprio la indubbia vittoria delle forze europee maggiormente attente a una visione  economicamente “forte” della UE in un quadro di rafforzamento anche delle economie nazionali pare confermare che il processo in corso è destinato a continuare a lungo e a segnare in modo sempre più “forte” gli anni che ci stanno davanti e l’evoluzione della società digitale.

Come si è detto, però, va tenuto ben presente che la costruzione e il consolidamento del mercato unico digitale europeo poggia anche sullo sviluppo di tecnologie di interscambio e interoperabilità delle reti nazionali e sullo sviluppo di sistemi di sicurezza del trasferimento e della conservazione digitale dei dati sempre più efficaci, uniformi su tutto il territorio UE e costantemente controllate e garantite dai fornitori dei servizi, da un lato, ma anche dagli utilizzatori dei servizi stessi dall’altro.

Questo comporta aver chiaro che man mano che la società digitale di sviluppa anche lo spazio unico digitale europeo è sempre più legato non solo a regole comuni ma anche a tecnologie interoperabili e affidabili su tutto il territorio dell’Unione e rispetto a tutti i servizi utilizzati nello spazio unico digitale europeo.

Questo comporta anche un forte mutamento del ruolo e delle professionalità dei Data Protection Officer (DPO) che sempre di più devono possedere e utilizzare competenze tecnologiche adeguate per garantire alle imprese, pubbliche o private, presso le quali prestano servizio una adeguata affidabilità nello spazio unico digitale europeo.

In altre parole sempre più le due figure, per ora tenute distinte, del DPO, che ha la sua base nel GDPR, e del RTD (Responsabile della transizione digitale) che in Italia è già prefigurato nelle Linee guida dell’AGID, tenderanno ad avere punti di contatto molto forti. Né è fuor di luogo prevedere che in un prossimo futuro, e magari anche nel quadro del previsto aggiornamento del GDPR, le due figure vengano fuse in un’unica, più ampia, responsabilità propria del DPO. Ovviamente di un DPO dichiaratamente più strettamente connesso all’economia digitale di quanto non sia questa figura nell’attuale apparato normativo e nella prospettiva, anche culturale, del GDPR oggi vigente.

In sostanza, e per concludere, non solo non ha senso immaginare che la figura del DPO sia destinata a perdere ruolo nello spazio unico digitale europeo ma, al contrario, è del tutto evidente che questa figura è destinata a crescere sempre più di peso e importanza.

Con una qualche limitata enfasi, si può dire che il DPO, specie acquisendo anche le competenze del RTD, è una figura destinata a crescere sempre più di peso e importanza nella società digitale, diventandone anzi un pilastro essenziale.

Per questo però è necessario che i DPO, sia chi aspira in futuro a questo ruolo sia chi da anni lo svolge, si attrezzino quanto prima a dotarsi di competenze tecniche adeguate e soprattutto della capacità di seguire gli sviluppi anche delle tecnologie digitali e non solo quelli delle regole giuridiche della Società digitale.

Per questo la presenza di organizzazioni come Federprivacy, che assicurano ai DPO un costante aggiornamento e, soprattutto, la capacità di seguire con attenzione l’evoluzione delle tecnologie digitali, sono sempre più preziose e costituiscono un patrimonio importante della nostra società nazionale, nella speranza che, almeno anche a livello UE, questi tipi di associazioni e di organizzazioni possano darsi un coordinamento forte, funzionale a una crescita armoniosa delle competenze tecnologiche dei DPO e dei RTD operanti almeno nell’ambito UE.

Note sull'Autore

Francesco Pizzetti Francesco Pizzetti

Professore ordinario di diritto costituzionale a Torino e docente alla Luiss. Presidente Autorita' Garante per la protezione dei dati personali dal 18 aprile 2005 al 17 giugno 2012.

Prev Etica e responsabilità d’impresa in ambito sanitario: quando gli interessati sono in condizioni di fragilità
Next L’alba dell’intelligenza artificiale: un affascinante percorso che continuerà a sorprenderci

Il presidente di Federprivacy intervistato su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy